18 de enero de 2016

Entre muchos troyanos en Android se difundieron ampliamente los programas nocivos que descargan software en dispositivos móviles sin autorización. Usando los mismos, los malintencionados obtienen beneficios por cada descarga correcta o instalación de alguna aplicación. Uno de estos troyanos detectado por los analistas de virus de la empresa Doctor Web se implementa en el proceso activo del programa Play Market y falsifica de forma oculta los resultados del contador de instalaciones en el catálogo Google Play.

Android.Skyfin.1.origin supuestamente penetra en dispositivos móviles gracias a algunos troyanos de la familia Android.DownLoader (por ejemplo, Android.DownLoader.252.origin y Android.DownLoader.255.origin) que, una vez infectados smartphones y tabletas, intentan obtener acceso root e instalan programas nocivos en el catálogo del sistema sin autorización. El código de estos troyanos contiene unas líneas características para Android.Skyfin.1.origin, por lo tanto es muy probable que las aplicaciones nocivas indicadas difunden Android.Skyfin.1.origin.

Al iniciarse, Android.Skyfin.1.origin implementa en el proceso del programa Play Market un módulo troyano extra llamado Android.Skyfin.2.origin. Roba el ID único del dispositivo móvil y de la cuenta de su titular usados para trabajar con servicios de la empresa Google, varios códigos internos de autorización para conectarse al catálogo Google Play y otros datos confidenciales. Luego el módulo transfiere esta información al componente básico del troyano Android.Skyfin.1.origin que luego, junto con la información técnica sobre el dispositivo, lo envía al servidor de control.

Usando los datos recebados, Android.Skyfin.1.origin se conecta al catálogo Google Play e imita el funcionamiento de la aplicación Play Market. El troyano puede realizar las siguientes solicitudes:

• /search – búsqueda en el catálogo para simular la secuencia de acciones del usuario;
• /purchase – solicitud de compra de programas;
• /commitPurchase – confirmación de la compra;
• /acceptTos – confirmación de aceptación de requisitos del acuerdo de licencia;
• /delivery – solicitud del enlace para descargar un archivo apk del catálogo;
• /addReview /deleteReview /rateReview – añadir, eliminar y valorar referencias;
• /log – confirmación de la descarga del programa usada para falsificar los datos del contador de instalaciones.

Una vez descargada la aplicación establecida por los malintencionados, Android.Skyfin.1.origin no la instala, sino la guarda en la tarjeta de memoria, por lo tanto, el usuario no ve los nuevos programas que aparecen de la nada. Como resultado, se aumentan las posibilidades de que el troyano permanezca inadvertido y pueda continuar falsificando los resultados del contador de instalaciones, “mejorando” la popularidad de las aplicaciones en Google Play.

Los analistas de virus de la empresa Doctor Web detectaron varias modificaciones de Android.Skyfin.1.origin. Una de ellas puede descargar del catálogo Google Play una sola aplicación – com.op.blinkingcamera. El troyano imita la pulsación en el banner Google AdMob con la publicidad de este programa, descarga su archivo apk y automáticamente aumenta el número de descargas confirmando la “instalación” en el servidor Google. Otra modificación de Android.Skyfin.1.origin es más universal. Puede descargar cualquier aplicación del catálogo– para realizarlo, el troyano recibe de los malintencionados un listado de programas para descargar.

Todas las modificaciones conocidas de Android.Skyfin.1.origin se detectan correctamente por los productos antivirus Dr.Web para Android, por lo tanto, los titulares de smartphones y tabletas pueden comprobar si en sus dispositivos hay este troyano. Pero, como Android.Skyfin.1.origin se instala en el catálogo de sistema, para eliminar el mismo debe usarse la solución integral Dr.Web Security Space para Android que en caso de disponer de acceso root puede afrontar las aplicaciones nocivas de este tipo.

Más información sobre el troyano

Proteja su dispositivo en Android con Dr.Web